Insights: GKE-Knotenverbindung

Auf dieser Seite werden die Network Analyzer-Statistiken zur Google Kubernetes Engine (GKE)-Knotenverbindung beschrieben. Informationen zu allen Arten von Statistiken finden Sie unter Statistikgruppen und ‑typen.

Der Network Analyzer erkennt Verbindungsprobleme, die durch Konfigurationen verursacht werden, bei denen ein GKE-Knoten eine Verbindung zur GKE-Steuerungsebene initiiert.

Statistiken in der Recommender API ansehen

Verwenden Sie den folgenden Insight-Typ, um diese Statistiken in der Google Cloud CLI oder der Recommender API aufzurufen:

  • google.networkanalyzer.container.connectivityInsight

Sie benötigen die folgenden Berechtigungen:

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.

Verbindung vom GKE-Knoten zur Steuerungsebene, die durch Routingproblem blockiert wird

Dieser Insight gibt an, dass die Verbindungen von den GKE-Knoten zum Endpunkt der Steuerungsebene durch ein Routingproblem blockiert werden.

In privaten Clustern ist das VPC-Netzwerk der Steuerungsebene mit VPC-Netzwerk-Peering mit dem VPC-Netzwerk Ihres Clusters verbunden. Der Traffic wird über eine von der VPC-Netzwerk-Peering-Konfiguration importierte Peering-Subnetzroute an die Steuerungsebene weitergeleitet. In öffentlichen Clustern wird der Traffic zur Steuerungsebene über die Endpunkt-IP-Adresse der Steuerungsebene an eine Route zum Standard-Internetgateway weitergeleitet.

Dies enthält folgende Informationen:

  • GKE-Cluster: Der Name des GKE-Clusters.
  • Endpunkt der Steuerungsebene: Die IP-Adresse des Endpunkts.
  • Netzwerk: Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.

Weitere Informationen finden Sie unter Steuerungsebenen in privaten Clustern.

Empfehlungen

Rufen Sie die GKE-Clusterdetails auf und prüfen Sie das VPC-Peering. Erstellen Sie den GKE-Cluster noch einmal, wenn das VPC-Peering gelöscht wird.

Verbindung vom GKE-Knoten zur Steuerungsebene: öffentlicher Endpunkt durch ausgehende Firewall blockiert

Dieser Insight gibt an, dass die Verbindung von GKE-Knoten zum öffentlichen Endpunkt durch eine Firewall für ausgehenden Traffic blockiert wird.

GKE-Knoten in einem öffentlichen Cluster kommunizieren über TCP auf Port 443 mit der Steuerungsebene. Diese Verbindung wird standardmäßig durch die impliziten Firewallregeln in Ihrem Google Cloud-Projekt zugelassen. Die Firewallregel, die die Verbindung blockiert, ist in den Statistikdetails aufgeführt.

Weitere Informationen finden Sie unter Firewallregeln verwenden.

Empfehlungen

Erstellen Sie eine Firewallregel für ausgehenden Traffic, die TCP-Traffic auf Port 443 mit einem Zielfilter für den Endpunkt des Clusters zulässt. Diese Regel muss eine höhere Priorität als die blockierende Firewallregel haben.

Für mehr Sicherheit kann diese Regel mit dem Netzwerk-Tag Ihrer GKE-Clusterknoten konfiguriert werden.

Verbindung vom GKE-Knoten zur Steuerungsebene: privater Endpunkt durch ausgehende Firewall blockiert

Dieser Insight gibt an, dass die Verbindung von GKE-Knoten zum privaten Endpunkt durch eine Firewall für ausgehenden Traffic blockiert wird.

GKE-Knoten in einem öffentlichen Cluster kommunizieren über TCP auf Port 443 mit der Steuerungsebene. Diese Verbindung wird standardmäßig durch die impliziten Firewallregeln in Ihrem Google Cloud-Projekt zugelassen. Die Firewallregel, die die Verbindung blockiert, ist in den Statistikdetails aufgeführt.

Weitere Informationen finden Sie unter Firewallregeln verwenden.

Empfehlungen

Erstellen Sie eine Firewallregel für ausgehenden Traffic, die TCP-Traffic auf Port 443 mit einem Zielfilter für den Adressbereich der Steuerungsebene des Clusters zulässt. Diese Regel muss eine höhere Priorität als die blockierende Firewallregel haben.

Für mehr Sicherheit kann diese Regel mit dem Netzwerk-Tag Ihrer GKE-Clusterknoten konfiguriert werden.